品質管理基準報告書第1号周知文書第1号
リモート会議及びリモート会議ツールの活用に係る周知文書
2 0 2 1 年 2 月 1 2 日
改正 2 0 2 2 年 1 0 月 1 3 日
日本公認会計士協会
監査・保証基準委員会
(周知文書:第1号)
新型コロナウイルス感染症の拡大により、新しい生活様式が要請され、働き方につい
ても新しいスタイルが求められている。
そういった中で、従来から一部の企業や在宅勤務の方を中心に活用されていたリモー
トツールを用いたリモートワークの機会も増加し、会議形式としてもリモート会議が一
般化してきている。一方でリモート会議ツール自体の情報セキュリティ上の脆弱性や、
誤った利用によって、監査、税務、コンサルティング等の業務における重要な情報の流
出につながってしまうリスクも存在する。
リモート会議ツール自体は公認会計士の働き方を柔軟にかつ効率的に変えていくこ
とのできるものであり、リモート会議及びリモート会議ツールに対するリスクを正しく
把握し対応していくことで、重大な事象を起こす蓋然性を軽減し、リスクが顕在化した
場合にその影響を限定的にすることができる。
本周知文書は、リモート会議及びリモート会議ツール利用時(以下「リモート会議関
連」という。)の特徴を理解の上、公認会計士事務所(監査法人)においてリモートワ
ークを適切かつ効率的に実施することに資するための参考として、主に情報漏洩リスク
の観点から取りまとめられたものである。
本周知文書は、一般に公正妥当と認められる監査の基準を構成するものではなく、会
員が遵守すべき基準等にも該当しない。また、2021 年2月 12 日時点の最新情報に基づ
いている。
《Ⅰ 基本的な考え方》
リモート会議を実施する企業・組織は増加しており、公認会計士事務所(監査法
人)がクライアントなどから対応を求められる機会は増加してきた。対応しないこ
とで、業務を円滑に遂行することが難しくなる可能性や、対面型でしか会議を行え
ないことで会議参加者の感染リスクが高まる可能性もあることから、組織として何
らかのリモート会議ツールを導入することが望ましい状況にある。
一方、今まで実施してきた対面型の会議と比べ、その性質上、会議の実施場所や
参加者を限定することや、資料の共有を適切な範囲で行うことが難しいと考えられ
- 1 -
る。公認会計士事務所(監査法人)の経営者は、情報漏洩のリスクの適時・適切な 把握、必要となる対策の実施を行うことが求められることから1、リモート会議及び
リモート会議ツールに対するリスク対策に限界があることを考慮に入れ、方針を決
めることになると考えられる。
特に会議の主催者になる場合、リモート会議ツールの選定・モニタリング・出席
者管理・資料管理などを行う責務が伴うことから、組織として会議を主催する場合
の対応については慎重に検討することが望ましい。参加者としてのみ利用可能なリ
モート会議ツールを選定したり、会議参加時のルールを作り徹底させたりすること
はその一例である。
《Ⅱ リモート会議及びリモート会議ツールに対する主なリスク》
分類
タイトル/概要
利用方針
リモート
会議関連
のリスク
の洗い出
し
リモート
会議ツー
ル関連リ
スク
会 議 や 会 議 ル ー
ルの規程・ルール
が存在しない
リ ス ク が 洗 い 出
されていない、又
は 長 期 に わ た り
見 直 さ れ て い な
い
契 約 に 係 る リ ス
ク
(主催者の場合)
利 用 可 能 な リ モ
ー ト 会 議 ツ ー ル
を 限 定 し て い な
い
(主催者・参加者
とも)
リモート会議ツー
ルの脆弱性の対応
が事業者によって
リスクの説明 新しい会議形式への対応、新しいリモート会議ツー ルの採用可否など定めることができるルールが組織 に無い場合、利用者がセキュリティを考慮せずリモ ート会議ツールを導入したり、会議時のセキュリテ ィが保たれなかったりするおそれがある。 リモート会議関連のリスクは比較的新しく、また、 新しいリスク自体も頻繁に認識されている。独立行 政法人情報処理推進機構(IPA)などの信頼できる組 織から具体的なリモート会議関連のリスクを抽出 し、評価し、対応する PDCA サイクルを、そのリスク 特性も踏まえて適切な頻度で実施しないとリスク認 識が陳腐化するおそれがある。 リモート会議ツールは様々な事業者によってサービ スが提供されており、簡易に利用ができるものも多 い反面、秘密保持や想定外のデータ利用に関して義 務が強く課されていないプロバイダー・ベンダーを 利用してしまうおそれがある。 利用可能なリモート会議ツールをあらかじめ指定・ 限定しない場合、セキュリティ評価が行われてなか ったり、組織のルールに適合していなかったりする リモート会議ツールをユーザーが勝手に利用してし まうリスクがある。特にクライアントから利用した ことのないリモート会議ツールを指定された場合、 明確な回答が出来ないためやむを得ず使ってしまう ケースに留意する。 脆弱性が生じているにもかかわらず、一定の期間内 に対応しない(出来ない)リモート会議ツールも存 在する。このようなリモート会議ツールを利用し続
1 品質管理基準報告書第1号実務指針第1号「公認会計士業務における情報セキュリティの指針」Ⅳ1.
参照
- 2 -
なされない
けてしまうと、情報漏洩リスクが高まる。
(主催者・参加者
とも)
リ モ ー ト 会 議 ツ
ー ル が 利 用 可 能
で あ り 続 け る こ
と を モ ニ タ リ ン
グしない
(主催者の場合)
契約停止・利用中
止に係るリスク
(主催者・参加者
とも)
想 定 外 の 参 加 者
の存在
会 議 参 加 環 境 の
整備
公 共 の ネ ッ ト ワ
ー ク を 利 用 し た
環境からの参加
会 議 参 加 者 に よ
る 会 議 の 無 断 録
画・撮影
会 議 主 催 者 に よ
る 録 画 内 容 の 無
断共有及び拡散
会 議 外 の 情 報 の
共有リスク
一旦利用を開始したリモート会議ツールに対して、 サービスレベルの変更やセキュリティの状況を適 時、又は定期的に確認していないと、リモート会議 ツール利用開始時と異なるセキュリティ水準である にもかかわらず、それを意識しないままリモート会 議が行われてしまうため、情報漏洩リスクが高まる。
公認会計士事務所(監査法人)内のルールに対応で きないサービスに対して契約停止を行うプロセスが ない、又は契約・利用停止を利用者に適時に伝えな いことで、セキュリティ水準等に達していないサー ビスを受け続けてしまうリスクが存在する。 主催者が誤って本来参加しないはずの組織・人に会 議 URL を送ってしまったり、主催者・参加者が不用 意に会議 URL を共有したりすることで無関係な人物 が会議に参加してしまうリスクが生じる。 主催者は参加者の会議参加環境が確認しづらく、例 えば、家庭からリモート会議に参加する場合、会議 画面が見えたり、音漏れによって同居者に会議内容 が漏れたり、スマートスピーカーを通じて情報が漏 洩するリスクが生じる。 暗号化されていない公共 Wi-Fi(ホテルの LAN 環境 など)を利用しての参加などを制約しないと情報漏 洩リスクが高まる。
会議参加者がスマートフォンやタブレットを使い主 催者に無断で会議を録画したり、スナップショット 機能を用いて撮影するリスクが存在する。
会議を録画する場合、録画データを会議主催者が参 加者に無断で会議参加者以外と共有してしまうリス クが存在する。また、会議主催者が録画データを誤 って漏洩・拡散してしまうリスクも存在する。 会議時に他の参加者に情報を共有する際に、本来共 有すべきでない情報を共有してしまうリスクが存在 する。例えば、デスクトップやフォルダの表示によ り、どのような情報を保持しているかが見えてしま う、誤った資料を投影してしまう、共有中にチャッ トなど画面上のポップアップが表示されてしまう、 などが考えられる。
- 3 -
リモート会
議実施に関
わるリスク
《Ⅲ 対応策の例》
- 4 -
《Ⅳ 参考になるウェブサイト》
1.品質管理基準報告書第1号実務指針第1号「公認会計士業務における情報セキュ
リティの指針」
https://jicpa.or.jp/specialized_field/publication/
2.独立行政法人 情報処理推進機構(IPA)
・ テレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html
3.総務省
・ テレワークにおけるセキュリティ確保
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
4.一般社団法人 ICT-ISAC
・ 家庭内で安全快適に在宅勤務を行うためのリファレンスガイド
https://www.ict-isac.jp/news/news20200701.html
以 上
・ 本周知文書(2022 年 10 月 13 日改正)は、次の公表物の公表に伴う修正を反映し
ている。
- 監査基準報告書(序)「監査基準報告書及び関連する公表物の体系及び用語」
(2022 年7月 21 日改正)
- 5 -